lm-sys/FastChat
Ver no GitHubUI contains cross-site scripting (XSS) vulnerabilities
Open
#88 aberto em 31 de mar. de 2023
11 comments (11 comments)0 reactions (0 reactions)0 assignees (0 assignees)Python38.959 stars (38.959 stars)4.736 forks (4.736 forks)batch import
good first issuehelp wanted
Description
the UI is not filtering input/output appropriately
Guia do colaborador
- Pilha de tecnologia
- javascriptreact
- Domain
- frontendsecurity
- Tipo Issue
- security
- DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
- 3
- Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
- half day
- Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
- stale
- ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
- needs investigation
- Prerequisites
- basic understanding of XSSfamiliarity with Reactknowledge of input sanitization
- Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
- 30
- Direção de pesquisa
- Investigate the UI components that render user input (e.g., chat messages, usernames) and check for missing output sanitization. Look for direct innerHTML usage or unsafe React dangerouslySetInnerHTML. Identify which inputs are vulnerable using the screenshot as reference. After locating the vulnerable code, apply a sanitization library like DOMPurify or ensure proper HTML escaping. Test with common XSS payloads to confirm the fix works.